这是一个创建于 2319 天前的主题,其中的信息可能已经有所发展或是发生改变。
用之前 360 元薅的企鹅云 cvm 搭了一个域名缩短服务, 开放 80 端口, 发现日志里有很多奇怪的请求, 如下:
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=ASNIAOUFMOMZJIBD
/ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA
根本不存在这个 php, 为何还在频繁试探请求? DD=后面跟的是穷举密码吗? 为何还总是那几个在重复? 实在想不通, 网上搜索 ip_js.php 也没有结果
已经针对含有".php?"的请求, response 返回一句问候的话了, 还是不停, 不想上 fail2ban, 让他请求去吧..后续考虑给他上 301 永久重定向
 |
1
MeteorCat 2018-07-12 09:50:08 +08:00 via Android
专门建立个 ip_js.php 文件死循环,看谁耗的过谁
|
 |
2
jyf 2018-07-12 10:00:29 +08:00
显然是想利用你的服务器做放大攻击 只不过他数据有误 以为你有那个服务而已
|
 |
3
yamedie OP @MeteorCat 怎么建死循环? 我没法确定对方是用浏览器发起的请求, 很大可能是通过工具, 或其他僵尸主机作为跳板 (对了, 我没记录访问者的 ip 地址, 先去加一下)
|
 |
4
opengps 2018-07-12 10:12:13 +08:00 via Android
都是些自动寻找某个特点的机器发的
|
 |
5
gamexg 2018-07-12 10:34:11 +08:00
302 跳转到超大文件。
|
 |
6
joejhy 2018-07-12 10:49:10 +08:00 via iPhone  1
@yamedie, 我查了下这个 ip_js.php ,应该是一个 IP 查询地址的程序,可以参考比如 http://dl.pconline.com.cn/download/1619887.html
如果部署了这个程序,那么访问 /ip_js.php?IP=(此处是我主机 IP 地址)&DK=80&DD=NSNIAOUFMOMZJIBA 就可以访问信息,反之 404,对方估计是想探测哪些服务器使用了这个程序,猜测这个程序存在漏洞可以被利用,黑客可能是探测可攻击目标,至于为什么是你的机器 IP 可能就没有特殊含义,黑客应该是有一个 IP 列表,取列表中的 IP 去构造请求 URL,于是乎正好就用探测目标的 IP 作为要查询 IP 构造到扫描 URL 里,建议可以屏蔽掉扫描 IP |
 |
8
ysc3839 2018-07-12 13:46:53 +08:00 via Android
也许可以试试 gzip 炸弹让对方程序崩溃?
|
 |
9
hjdtl 2018-07-12 13:46:58 +08:00
|
|
10
yamedie OP @hjdtl 这种奇怪的 get 请求路径在我 log 里也有(如下), 我搞不懂他们是怎么请求的, 因为正常请求都应该是以 /开头的, 为何能访问我 80 端口并留下一个绝对路径的 get 请求... 我果然还是不懂 http 的一分一毫
http://proxyjudge.info/azenv.php http://clientapi.ipip.net/echo.php?info=1234567890 http://180.163.113.82/check_proxy http://46.161.9.31/echo.php |
 |
12
zencoding 2018-07-12 14:30:34 +08:00
ban 掉
|
 |
13
lolizeppelin 2018-07-12 14:33:40 +08:00 via Android
这就和你没 phpadmin 照样一堆 phpadmin 访问一个道理
|
 |
14
Oceanhime 2018-07-12 20:16:22 +08:00
应该比较常见吧, 比如说 Windows 主机(无 SSH)经常被访问 22 端口爆破密码, 没有安装 Wordpress 还是被访问 wp-login.php 进行 wp 密码爆破一样, 但这个程序有些小众。其实和上面的例子是差不多的。
另外, 我看了一下刚刚 @joejhy #6 所附带的那个程序, 里面没有 $_GET 也没有出现 LZ 提到的 get 参数 'dk' 'ip' 等等, 应该不是这个程序。 (也有可能是老版本) |
 |
15
rooob1 2019-12-09 11:25:58 +08:00
WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575823
96013531PC080452084100808 (85.119.151.250) 0.00ms WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (85.119.151.253) 0.0 0ms WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575838 39545603PC080452084100808 (109.234.153.134) 0.00ms WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.133) 0. 00ms WARNING:tornado.access:404 GET http://clientapi.ipip.net/echo.php?info=123456789 0 (139.162.81.62) 0.00ms WARNING:tornado.access:404 POST http://check.best-proxies.ru/azenv.php?s=1575852 82723436PC080452084100808 (109.234.153.132) 0.00ms WARNING:tornado.access:404 CONNECT check.best-proxies.ru:80 (109.234.153.131) 0. 00ms |
Select Language